Закон О Защите Персональных Данных Республики Казахстан: Поправки Внесенные В 2026 Году
14 июля 2026 г.Настоящий LawFlash содержит обзор основных изменений, вносимых в Закон о персональных данных и их защите, включающих введение реестра лиц, осуществляющих сбор и (или) обработку персональных данных.
В Законе Республики Казахстан «О персональных данных и их защите» № 94-V от 21 мая 2013 года (далее — Закон) изменено определение персональных данных; изменения вступают в силу с 11 июля 2026 года. Новое определение персональных данных акцентирует внимание на идентификаторах персональных данных. В связи с чем, отдельные сведения, которые ранее могли не рассматриваться как персональные данные, могут теперь подпадать под действие Закона при их использовании совместно с идентификаторами персональных данных.
В августе 2026 года также вводятся новые понятия, включая автоматизированную обработку, анонимизацию, маскирование, нарушение безопасности персональных данных и хеширование.
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
С 25 августа 2026 года устанавливаются новые правила обработки персональных данных, размещенных в общедоступных источниках, включая следующее:
- Если субъект самостоятельно разместил свои персональные данные в открытом доступе, это не означает автоматического согласия на их последующий сбор, распространение или иную обработку;
- При размещении персональных данных в общедоступных источниках собственники, операторы и третьи лица обязаны маскировать сведения, которые не подлежат открытому распространению в соответствии с законодательством.
АВТОМАТИЗИРОВАННАЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
Законом вводятся специальные требования и ограничения к автоматизированной обработке персональных данных, такие как запрет на принятие решений исключительно на основании автоматизированной обработки, предоставление возможности заявить возражение против автоматизированной обработки и др.
ВВЕДЕНИЕ ГОСУДАРСТВЕННЫХ РЕЕСТРОВ
Предусматривается создание реестра нарушений безопасности персональных данных и реестра лиц, осуществляющих сбор и (или) обработку персональных данных.
Реестр нарушений безопасности персональных данных
С 25 августа 2026 года уполномоченный орган будет вести реестр нарушений безопасности персональных данных на основании информации, поступающей из общедоступных источников и от субъектов государственной системы кибербезопасности.
Реестр лиц, осуществляющих сбор и (или) обработку персональных данных
Вводится реестр лиц, осуществляющих сбор и (или) обработку персональных данных, который ведется центральным исполнительным органом, осуществляющим руководство в сфере защиты персональных данных (в настоящее время – Министерство искусственного интеллекта и цифрового развития РК). Реестр формируется на основании поданных уведомлений.
Собственники и (или) операторы, а также третьи лица, осуществляющие сбор и обработку персональных данных, подразделяются на малых, средних и крупных в зависимости от объема обрабатываемых персональных данных. При этом, требование об уведомлении в отношении обработки и прекращения обработки персональных данных распространяется в отношении крупных собственников и (или) операторов. Указанное нововведение представляется обременительным для бизнеса; необходимо отслеживать правоприменительную практику.
Contacts
В случае возникновения вопросов или если вы хотите получить больше сведений касательно предмета настоящего информационного сообщения, вы можете связаться со следующими юристами Морган Льюис: